CVE-2026-40087 Python — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,3 (MEDIUM)
Устранено в версии	0.3.84
Тип уязвимости	CWE-1336 (Внедрение через шаблоны)
Поставщик	Python
Публичный эксплойт	Нет

LangChain — это платформа для создания агентов и приложений на базе LLM. До версий 0.3.84 и 1.2.28 проверка шаблона подсказки f-строки в LangChain была неполной в двух отношениях. Во-первых, некоторые классы шаблонов приглашений принимали шаблоны f-строки и форматировали их, не применяя ту же проверку доступа к атрибутам, что и PromptTemplate.

В частности, DictPromptTemplate и ImagePromptTemplate могут принимать шаблоны, содержащие выражения доступа к атрибутам или индексации, и впоследствии оценивать эти выражения во время форматирования. Во-вторых, проверка f-строки на основе проанализированных имен полей верхнего уровня не отклоняла вложенные поля замены внутри спецификаторов формата. В этом шаблоне вложенное поле замены отображается в спецификаторе формата, а не в имени поля верхнего уровня.

В результате более ранняя проверка на основе проанализированных имен полей не отклоняла шаблон, хотя форматирование Python все равно пыталось разрешить вложенное выражение во время выполнения. Эта уязвимость исправлена в версиях 0.3.84 и 1.2.28.

Показать оригинальное описание (EN)

LangChain is a framework for building agents and LLM-powered applications. Prior to 0.3.84 and 1.2.28, LangChain's f-string prompt-template validation was incomplete in two respects. First, some prompt template classes accepted f-string templates and formatted them without enforcing the same attribute-access validation as PromptTemplate. In particular, DictPromptTemplate and ImagePromptTemplate could accept templates containing attribute access or indexing expressions and subsequently evaluate those expressions during formatting. Second, f-string validation based on parsed top-level field names did not reject nested replacement fields inside format specifiers. In this pattern, the nested replacement field appears in the format specifier rather than in the top-level field name. As a result, earlier validation based on parsed field names did not reject the template even though Python formatting would still attempt to resolve the nested expression at runtime. This vulnerability is fixed in 0.3.84 and 1.2.28.